Habilitar o ambiente híbrido AD/Microsoft Entra ID no Universal Print
Aplica-se A: Windows Server 2016
Fundo
Estas informações destinam-se a ajudá-lo a decidir se ativar a configuração do AD híbrido é a escolha certa para a sua organização.
O que é uma configuração híbrida do AD?
Uma configuração híbrida do AD é uma configuração em que a organização usa o AD e o Microsoft Entra ID. Nesse ambiente, existe uma conta de usuário em ambos os serviços de diretório.
O que significa "Ativar configuração híbrida do AD"?
O conector de impressão universal é executado como serviço do Windows no PC onde está instalado. Uma das funções do conector é recuperar trabalhos de impressão do Universal Print e enviá-los para a impressora de destino. O conector usa a conta "Sistema" para enviar trabalhos de impressão para o spooler. Portanto, embora o portal Universal Print mostre o nome de usuário do Microsoft Entra ID que enviou um trabalho de impressão, cada trabalho de impressão impresso usando o Universal Print aparecerá na fila de impressão do Windows no conector, conforme enviado pelo usuário "Sistema".
Alguns aplicativos de gerenciamento de impressão herdados, que dependem de domínios do Ative Directory, leem o nome de usuário da fila do spooler e usam essas informações para executar alguma função (por exemplo, deduzir o trabalho de impressão da cota de impressão mensal de um usuário). Até que esses aplicativos sejam atualizados para funcionar mais perfeitamente com o Universal Print, eles não poderão obter a identidade do usuário que originou um trabalho de impressão.
Quando a opção "Ativar configuração híbrida do AD" está ativada no conector de impressão universal, o conector tenta mapear a identidade de usuário do Microsoft Entra ID para uma identidade de usuário de domínio do AD local correspondente. Se uma identidade correspondente for encontrada, o serviço de conector representará a identidade de domínio desse usuário antes de enviar o trabalho de impressão para o spooler em seu nome. Nesse caso, o nome de usuário de domínio do usuário que originou o trabalho de impressão aparecerá na fila do spooler no PC conector, permitindo que aplicativos herdados o leiam.
Pré-requisitos
Há uma série de assinaturas, serviços e computadores que você precisará adquirir antes de iniciar esta instalação. São os seguintes:
Subscrição premium do Microsoft Entra ID.
Consulte Introdução a uma subscrição do Azure para uma subscrição de avaliação do Azure.
Serviço MDM, como o Intune.
Consulte Microsoft Intune para obter uma subscrição de avaliação do Intune.
Máquina Windows Server 2016 ou posterior executando o Ative Directory.
Consulte Passo a passo: Configurando o Ative Directory no Windows Server 2016 para obter ajuda para configurar o Ative Directory.
Uma máquina dedicada do Windows Server 2016 ou posterior associada a um domínio que funcione como um Servidor de Impressão e um conector de Impressão Universal.
Consulte Compreender os conectores de Proxy de Aplicativo do Microsoft Entra ID para obter mais informações.
Nome de domínio voltado para o público.
Você pode usar o nome de domínio criado para você pelo Azure (domainname.onmicrosoft.com) ou comprar seu próprio nome de domínio. Consulte Adicionar seu nome de domínio personalizado usando o portal Microsoft Entra ID.
Passos de implementação
As etapas abaixo permitem que você configure uma implantação típica do Universal Print necessária para habilitar o ambiente híbrido AD/Microsoft Entra ID.
Etapa 1 - Instalar o Microsoft Entra ID Connect
- O Microsoft Entra ID connect sincroniza o Microsoft Entra ID com o AD local. Na máquina Windows Server com Ative Directory, baixe e instale o software Microsoft Entra ID Connect com configurações expressas. Consulte Introdução ao Microsoft Entra ID Connect usando configurações expressas.
Etapa 2 - Instalar o proxy de aplicativo
Nota: Ignore esta etapa se o servidor de impressão já tiver ingressado no AzureAD.
O proxy de aplicativo permite que os usuários em sua organização acessem aplicativos locais a partir da nuvem. Instale o Proxy de Aplicativo no conector.
- Para obter instruções de instalação, consulte Tutorial: Adicionar um aplicativo local para acesso remoto por meio do Proxy de Aplicativo na ID do Microsoft Entra.
- Um grupo de conectores dedicados é recomendado se a organização tiver topologia de rede complexa. Veja Publicar aplicações em redes e localizações separadas com os grupos do conector.
Etapa 3 - Configurar o servidor de impressão
Certifique-se de que o Servidor de Impressão tem todo o Windows Update disponível instalado (Atualize o servidor antes de prosseguir).
Nota: O Server 2019 deve ser corrigido para compilar 17763.165 ou posterior.
Na máquina Windows Server que atua como um servidor de impressão, precisaríamos instalar a Função de Servidor de Impressão.
- Consulte Instalar funções, serviços de função e recursos usando o Assistente para adicionar funções e recursos para obter detalhes sobre como instalar funções de servidor.
Para garantir que o AD local seja mapeado com as contas de ID do Microsoft Entra, o Windows Server que atua como Servidor de Impressão deve ser Ingressado Híbrido/Ingressado no Azure. Consulte Configuração Universal de Impressão para garantir que todas as etapas sejam concluídas. Em suma,
- Instale o Universal Print Connector na máquina do servidor de impressão, se ainda não tiver terminado.
- Registre o conector com o Universal Print fornecendo um nome exclusivo para o conector.
- Partilhe as impressoras registadas no portal administrativo.
Etapa 4 - Configurar a sincronização de diretórios do AD local com o ID do Microsoft Entra
Os usuários ou grupos devem existir no Ative Directory local e sincronizados com o Microsoft Entra ID. Se a solução for implantada em um domínio não roteável (por exemplo , mydomain.local), o domínio Microsoft Entra ID (por exemplo , domainname.onmicrosoft.com ou um adquirido de um fornecedor de terceiros) precisará ser adicionado como um sufixo UPN ao Ative Directory local. Isso é exatamente o mesmo usuário que publicará impressoras (por exemplo, admin@domainname.onmicrosoft.com). Consulte Preparar um domínio não roteável para sincronização de diretórios para garantir que o domínio local seja adicionado e sincronizado.
Nota: Este é um passo importante, pois é o requisito básico para uma configuração completa. O usuário local do AD deve ter o mesmo nome de usuário na conta sincronizada do Microsoft Entra ID.
Exemplo: domínio/usuário1 deve ser traduzido para user1@example.com
Depois que a sincronização ocorrer (a frequência de sincronização padrão é de 30 minutos), você poderá verificar se os usuários do AD estão sincronizados no portal administrativo. Em Microsoft Entra ID, selecione a guia usuários e uma lista de todos os usuários aparecerá. Seria fácil verificar se um usuário está sincronizado com o diretório nessa lista. Os detalhes de um usuário devem mostrar que a origem é o Windows Server AD.
Etapa 5 - Ativando o suporte híbrido AD/Microsoft Entra ID no Universal Print Connector
No servidor de impressão onde o conector está instalado, deve haver um botão de alternância no canto superior direito do aplicativo.
- Selecione o botão de opção ativado para a opção Ativar configuração do AD híbrido no conector.
Verificar a implementação
Verificar se a implantação seria enviando um trabalho de impressão de teste para o servidor de impressão usando suas credenciais de ID do Microsoft Entra em uma máquina cliente associada ao AD.
A máquina deve ser Microsoft Entra ID associada com a mesma conta à qual está vinculada durante a etapa de sincronização. Vá para Configurações>Contas Email>& Contas. Clique em Adicionar uma conta corporativa ou de estudante e faça login usando as credenciais para adicionar a conta Microsoft Entra ID à máquina cliente.
As etapas para enviar uma impressão de teste para verificar a implantação estão abaixo:
- Adicionar uma impressora e imprimir uma página de teste
- Depois de notar um trabalho de impressão enfileirado na fila de impressão, o servidor de impressão na pasta C:/prints deve ter um arquivo de impressão de teste exibido no nome printerName.pdf.
- Se esse arquivo for exibido, você poderá verificar se o mapeamento ocorreu com êxito verificando os logs de eventos no caminho mencionado na seção Solução de problemas para logs do servidor de impressão.
Resolução de Problemas
Abaixo estão os problemas comuns encontrados durante a implantação:
| Erro | Passos Recomendados |
|---|---|
| A solicitação para adicionar ou remover recursos no servidor especificado falhou | Verifique se o Windows Server tem a atualização mais recente verificando se há atualizações no servidor. |
| Verifique se o servidor é Domínio e se o Azure ingressou | Execute dsregcmd no prompt de comando e verifique se AzureADJoined e DomainJoined estão definidos para o estado "YES". |
| Os trabalhos de impressão permanecem no estado Enviado para a impressora | |
| Os trabalhos de impressão são exibidos como "Abortado" no portal. O log de eventos do Print Connector mostra o Evento 27 "Falha ao representar <o usuário> para a ID> do trabalho<, seguido pelo Evento 9 "PrintJob failed System.Security.SecurityException: O nome de usuário ou senha está incorreto...". | Verifique se a conta do computador é membro do "Grupo de Acesso de Autorização do Windows", conforme descrito aqui - Aplicativos e APIs exigem acesso. |
Para obter mais ajuda na resolução de problemas relacionados com o Universal Print, consulte o guia de resolução de problemas do Universal Print.
Abaixo estão os locais dos logs que podem ajudar na solução de problemas:
| Componente | Localização do registo |
|---|---|
| Cliente Windows 10 | |
| Servidor de Impressão | Use o Visualizador de Eventos para ver o log do Conector de Impressão. Clique em Iniciar e digite Visualizador de eventos. Navegue até Logs > de Aplicativos e Serviços Microsoft > Windows > PrintConnector > Operacional. |